Brug firewallens logfiler, inden skaden sker

Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Informatik om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Gennem mit daglige arbejde i DK•CERT er jeg ofte i kontakt med virksomheder, der har haft besøg af hackere på netværket. De uindbudte gæster kan for eksempel være blevet opdaget ved, at den it-ansvarlige har opdaget en ukendt bruger på systemet, der så viser sig at være en hacker. Inden han bliver opdaget, kan hackeren have haft adgang til systemet i dage- eller måske ligefrem ugevis.

Her kan han så stille og roligt have skannet netværket for sårbarheder og arbejdet på at skaffe sig flere rettigheder på systemet ved at bruge et såkaldt snifferprogram til at opsnuse brugernavne og kodeord fra trafikken på netværket.

Jo tidligere hackeren opdages, desto mindre skade kan han selvfølgelig nå at forårsage, og et godt værktøj til tidligt at opdage det digitale indbrud er firewallens logfiler.

Logfilerne forsømmes
Desværre sker det ofte, at logfilerne forsømmes. De tages først i brug, når skaden allerede er sket. I enkelte tilfælde har den hackede virksomhed endda kun begrænset adgang til sine logfiler, fordi firewallen bliver drevet af virksomhedens internetudbyder.

Hvis logfilerne bruges præventivt vil mange timers arbejde med at reetablere systemerne efter hackerangreb kunne spares. Så simple forholdsregler som blot at holde et vågent øje med IP-adressen på systemets brugere vil kunne stoppe et hackerangreb, inden det eskalerer. Det er også en god ide at logge og analysere IRC-trafik på netværket. IRC-protokollen bruges ofte af hackere til at åbne en bagdør til systemet.

Hvis analysen af logfilerne bliver en fast del af it-afdelingens rutiner i den travle hverdag, vil hackere ikke så nemt kunne bevæge sig rundt på netværket i dage eller uger uden at blive opdaget. Logfilerne skal analyseres, før det går galt - ikke efter.

Oprindelig bragt i Børsen Informatik den 27. januar 2004.

Keywords: